Language
Новая шпионская группа нацелена на телекоммуникации «точно»
ДомДом > Блог > Новая шпионская группа нацелена на телекоммуникации «точно»
ПОСЛЕДНИЕ НОВОСТИ

Новая шпионская группа нацелена на телекоммуникации «точно»

Oct 09, 2023

Ранее неизвестный злоумышленник нацелен на телекоммуникационные компании на Ближнем Востоке в рамках кампании кибершпионажа, похожей на многие из тех, которые в последние годы поразили телекоммуникационные организации во многих странах.

Исследователи из SentinelOne, заметившие новую кампанию, заявили, что отслеживают ее как WIP26 — обозначение, которое компания использует для деятельности, которую она не может отнести к какой-либо конкретной группе кибератак.

В отчете на этой неделе они отметили, что наблюдали, как WIP26 использовал инфраструктуру общедоступного облака для доставки вредоносного ПО и хранения украденных данных, а также для целей командования и контроля (C2). По оценкам поставщика средств безопасности, злоумышленник использует эту тактику — как и многие другие в наши дни — чтобы избежать обнаружения и затруднить обнаружение своей деятельности в скомпрометированных сетях.

«Деятельность WIP26 является наглядным примером того, как субъекты угроз постоянно обновляют свои TTP [тактики, методы и процедуры] в попытке оставаться скрытными и обойти защиту», – заявили в компании.

Атаки, которые наблюдал SentinelOne, обычно начинались с сообщений WhatsApp, адресованных конкретным лицам в целевых телекоммуникационных компаниях на Ближнем Востоке. В сообщениях содержалась ссылка на архивный файл в Dropbox, который якобы содержал документы по темам, связанным с бедностью, актуальным для региона. Но на самом деле он также включал в себя загрузчик вредоносного ПО.

Пользователи, которых обманным путем заставили перейти по ссылке, в итоге установили на свои устройства два бэкдора. SentinelOne обнаружил один из них, отслеживаемый как CMD365, использующий почтовый клиент Microsoft 365 в качестве C2, а второй бэкдор, получивший название CMDEmber, использовал для той же цели экземпляр Google Firebase.

Поставщик средств безопасности описал WIP26 как использование бэкдоров для проведения разведки, повышения привилегий, развертывания дополнительных вредоносных программ, а также для кражи личных данных браузера пользователя, информации о ценных системах в сети жертвы и других данных. По оценкам SentinelOne, многие данные, которые оба бэкдора собирают из систем и сети жертвы, позволяют предположить, что злоумышленник готовится к будущей атаке.

«Первоначальный вектор вторжения, который мы наблюдали, включал точное нацеливание», — сказал SentinelOne. «Кроме того, нападения на телекоммуникационных провайдеров на Ближнем Востоке позволяют предположить, что мотив этой деятельности связан со шпионажем».

WIP26 — один из многих злоумышленников, атаковавших телекоммуникационные компании за последние несколько лет. Некоторые из недавних примеров — например, серия атак на австралийские телекоммуникационные компании, такие как Optus, Telestra и Dialog — имели финансовую мотивацию. Эксперты по безопасности указали на эти атаки как на признак возросшего интереса к телекоммуникационным компаниям среди киберпреступников, стремящихся украсть данные клиентов или взломать мобильные устройства с помощью так называемых схем подмены SIM-карт.

Однако чаще всего кибершпионаж и слежка становятся основными мотивами атак на провайдеров телекоммуникационных услуг. Поставщики средств безопасности сообщили о нескольких кампаниях, в ходе которых группы продвинутых постоянных угроз из таких стран, как Китай, Турция и Иран, взломали сеть провайдера связи, чтобы они могли шпионить за отдельными лицами и группами, представляющими интерес для их соответствующих правительств.

Одним из примеров является операция Soft Cell, в ходе которой базирующаяся в Китае группа взломала сети крупнейших телекоммуникационных компаний по всему миру, чтобы украсть записи данных о звонках, чтобы они могли отслеживать конкретных людей. В ходе другой кампании злоумышленник, отслеживаемый как Light Basin, украл идентификаторы мобильных абонентов (IMSI) и метаданные из сетей 13 крупных операторов связи. В рамках кампании злоумышленник установил в сети операторов вредоносное ПО, которое позволило ему перехватывать звонки, текстовые сообщения и записи звонков целевых лиц.